建立完善數據安全法律體系

不久前，由中國人民大學未來法治研究院主辦、中央網信辦《數據安全立法研究》重大項目課題組協辦的《數據安全法（草案）》暨數據法治研討會在線上舉行，來自中央網信辦政策法規局、多所高校、企業智庫、知名科研機構的近20名代表及資深專家學者與會。會議以《數據安全法（草案）》修改為主題，就數據安全法私法視野、數據法視野、公法視野等角度進行了討論。

北京航空航天大學法學院院長龍衛球：完善數據安全治理與私法的關系

草案確立了數據安全概念，在堅持總體國家安全觀下，建立了以安全管理和安全保護義務兩大機制為重點的數據安全管理體制。接下來，草案可以在數據安全治理與私法基礎的關系上進行完善。

一是明確數據安全問題的前提是數據發展，可以通過確立數據財產權體制，激發數據活動主體尤其是市場主體的創造性和積極性，促進數據開放共享。二是要明確數據安全所追求的應為建立適應數據資源化、產業化的安全制度，尊重市場，樹立數據資源市場決定性配置基礎上的數據安全觀。三是要著眼于數據戰略資源高度，通過公私協力轉化和推廣戰略性知識成果。

要明確數據安全治理定位、細化數據安全概念、完善數據安全治理原則、完善數據和數據安全定義、建立統一管理聯合機制。建議明確網信部門統一負責管理數據安全，國安機關負責國安特殊領域的數據安全問題，提升管理主體和權力設計科學性，避免特殊重大管理資源的泛化和浪費。

對外經濟貿易大學數字經濟與法律創新研究中心執行主任許可：應充分考慮企業和個人的權益

注重數據安全法的私法視角考察，主要源于一系列國際重大數據事件和國內對數據資源重視。在國內外因素影響下，數據安全法發生了以下根本性的轉變：一是定位從國家安全法的特別法向數據領域的基本法轉變，二是立法目標從強調單一的國家安全向復合立法目的轉變，三是立法狀態從公法向公法私法混合轉變。

不過，從私法維度來看，草案中對企業數據權利的規定尚有不足，具體是指企業數據權屬不清晰、權利內容缺失和執法協助表述不明確等問題。總之，數據安全法應充分考慮企業和個人的權利和權益，成為一部權力和權利平衡共生的法。

華東政法大學教授高富平：細化風險評估和應急處置規范

由于定位廣泛，草案僅有宣示性而缺乏可操作性和落地性。對此，建議圍繞數據安全風險評估和應急處置，重點細化第22—24條以及第32、33條確立的制度規范，從而實現兩個目標：一方面調整國內數據活動不危害國家安全，另一方面建構數據經濟防火墻。

為了實現對內對外雙重目標，一是應協調和銜接數據安全法和《網絡安全法》《檔案法》等法律在數據安全方面的制度措施；二是明確重要數據是國家安全概念而非數據經濟概念，把重要數據限縮為“泄露會造成國家安全和公共安全”，不包含權益侵害情形；三是數據交易許可制度與《電信法》“在線業務處理”等許可制度重復，應予以刪除；四是調整保障數據經濟安全有序的定位，數據安全法只為數據經濟發展設定紅線和底線，而不制定發展規則。

中國信息通信研究院互聯網法律研究中心主任方禹：兼顧數據安全與數據經濟發展

草案的立法定位有些糾結，這與我們如何看待數據和數據經濟有關。目前，我國仍處于數據認識和數據經濟發展的起步階段，完全偏向數據安全或數據經濟發展都會造成信息傳遞偏差。要考慮如何從形式上銜接網絡安全法的安全審查制度和草案的安全審查制度，避免重復審查和行政資源浪費。從內容上看，第22條安全審查制度與安全評估內容大致相當，企業很可能以安全審查替代安全評估。對此，建議在第25條第2款上延伸出重要數據處理登記注冊制度以替代第22條安全審查制度，向監管部門提供基礎性資料，以加強監管機構對風險的學習和認識。

上海財經大學法學院副院長胡凌：“政務數據”可統一為“公共數據”

可以借鑒地方政府的豐富經驗，增加第五章篇幅，補充公共數據的特殊規定，具體包括：一是統一術語，將“政務數據”統一為“公共數據”；二是細化制度，完善第35條政府收集數據的特殊規定，在第36條加入審計和追溯、應急預案制度，在第37條增加與第三方簽訂安全協議和建立數據安全管理制度的義務，在第38條加入救濟制度，在第45條采用“階梯式”處分方式并增加不履行數據安全保護義務的法律責任。

阿里巴巴集團法律研究中心副主任顧偉：法規政策不應增加數據安全法律義務

在數據要素流通方面，高度數據化正在成為我們生產、生活的重要環節，多地政府也相繼出臺促進數據要素流通和數據安全責任的相關政策法規，但各地政策差異可能會造成政策性障礙。為此，建議在數據安全法總則中明確規定，如果沒有法律法規規定，各部門、各地區不得設定增加公民、法人和其他組織的數據安全法律義務的規范，防止產生限制數據要素流通的法律后果。

在重要數據保護方面，雖然重要數據保護目錄可以幫助我國在數據安全治理上實現彎道超車，但要注意，應將重要數據限定在國家安全的范疇，避免公民、法人和其他組織合法權益和重要數據的概念掛鉤。

字節跳動法律研究中心主任丁道勤：增加數據壟斷和不正當競爭條款

數據安全法的目標可以分為外向目標和內向目標，前者是在數據流通過程中維護我國在數據領域的主權，后者是建立數據流通規則來監管重要數據和促進數據開發利用。在內向和外向目標的導向下，可以從以下方面完善草案：一是討論如何建立數據處理的特殊安全規則；二是明確監管部門地方層級，只由省級機構進行監管，消除多重監管問題；三是部分條文的法律依據層級過低，應明確“有關規定”是指法律和行政法規，在全國范圍內統一梳理重要數據保護目錄；四是建議增加數據壟斷、不正當競爭規制條款。

北京大學法學院教授王錫鋅：落實安全與發展要處理好三組關系

草案是一部比較典型的政策法，背后存在復雜的利益博弈，在管理權的正當合理方面有所欠缺。為了在未來繼續完善法律，建議落實數據安全與發展并重的基本原則，處理好三組關系。

一是國家、企業和個人的關系，從主體視角劃分數據安全，有助于解決部門管理的協調和統籌問題。二是監管機構內部橫向、縱向和條塊關系。從橫向關系來看，現有的體制架構存在低效混亂的問題，需要在草案中明確不同監管部門之間相互配合的權力責任配置。從縱向關系來看，第7條中的“各地區主體責任”和“各級政府”需要進一步細化到行政區劃級別。從條塊關系來看，遵循權責統一、有權必有責的行政法原則，因此需要考慮監管體制的結構性問題。三是監管機構與其監管者的關系。根據法治政府框架的基本原則，監管機構的權力必須受到法律規則的事先制約、法律程序的事中約束以及司法審查的事后監督，因此需要在草案中進一步完善相關規定。

中國人民大學法學院副院長張翔：安全審查最終決定也應接受司法審查

草案是一部授權色彩比較重的法律。人類進入風險社會后，會期待國家承擔更多的義務尤其是安全保障義務，必然需要賦予國家更多的權力，而現代立憲主義強調抑制國家權力、防范國家侵犯個人權利。由此，形成了監管部門自我授權和制定規則的悖論。草案第22條安全審查制度即體現了該悖論，并且可能脫離法治原則。安全審查最終決定不可復議、不可訴訟且不受司法審查意味著該制度可能排除事后規制，這不僅與全面推進依法治國的目標存在沖突，而且也不符合公法的基本原理。事實上，即便是風險規制這種具有非常獨特性的國家行政活動，也并非不可以進行司法審查。

北京師范大學法學院教授汪慶華：從國家和企業兩個層面完善安全保障機制

草案存在目標雜糅、立法重心失衡問題，應從國家和企業兩個層面完善數據安全保障機制。從國家層面看，要回應歐盟GDPR和美國云法案提出的長臂管轄問題，主張數據主權。從企業層面看，要解決多重監管問題，加強由國家部門集中統一領導的聯合管理機制。

具體建議：一是調整數據安全監管體制，確保與現有網絡信息監管體制實現兼容對接；二是完善企業受到行政處罰的救濟措施；三是豁免已及時采取必要措施企業的數據安全事故責任，避免造成過重的企業義務；四是增加政府平臺互操作性規定。此外，政務數據的開發利用是這部草案的重要亮點，將有助于推動數字化轉型，但草案沒有對算法自動化決策進行規制是立法遺憾。

中國社科院法學研究所研究員姚佳：為未來制度建設留下空間

草案是一部以數據安全為主線、以信息科技發展和立法技術為支線的法律。在內容上，草案以數據安全為基本出發點，兼顧了數據開放和數據發展等價值；在結構上，草案以數據安全為主線，輻射相關數據利用和數據交易等支線制度。草案中數據利用具體規則等尚未達成完全共識，需要遵循信息科技發展的客觀狀況和法律自身發展脈絡，為未來制度建設留下空間。具體而言，專門數據交易中介機構在數據交易的定位、數據交易標的、數據交易定價、數據交易相關制度和規則等問題都可以在草案的支線制度中進一步討論。

華東政法大學法學院副院長陳越峰：要考慮國家規制的正當性

從總體來看，應當打造一部與發展水平和風險相稱的動態數據安全法，基于多類型、數據全生命周期，構造數據安全權利義務，采取事中監管和合作治理方式。為實現這個立法任務，需要考慮兩點：一是要考慮國家規制的正當性基礎，市場機制無法完全解決數據安全問題，因此才需要國家推動和規制；二是在政府數據規制方面，要注意消費者權益保護和公民基本權利保護，設定義務應合法、適當、審慎。因此，數據安全法需要權衡安全治理成本，在合理成本范圍內實行政府干預，在保障市場主體權利基礎上實現安全保障。尤其是，面臨國際競爭壓力，數據安全立法要注意避免因追求過高的安全水平而導致我國企業在國際競爭中陷入不利局面。

？（摘自9月15日《經濟參考報》）